《425084283第三章电子商务安全的管理保障.ppt》由会员分享,可在线阅读,更多相关《425084283第三章电子商务安全的管理保障.ppt(47页珍藏版)》请在三一办公上搜索。
1、1,第三章 电子商务安全的管理保障,2,导入案例,数字证书为什么普及速度不快?数字证书在大众中普及度不高,通用性差。虽然CFCA所推出数字证书是统一的,但最终颁发数字证书的各个网上银行之间,却并没有统一的审查用户信息、通过用户认证的标准化平台。除CFCA可以放数字证书外,各大银行也自建认证中心,为自己客户发放证书,但标准不统一,业务规则也有差异,各银行所颁发给自己客户的数字证书,就只能在本行使用,只有在银行自己的平台,用户信息才能被确认电子认证系统的不统一,使数字证书的发展步履重重。颁发证书各银行之间,亟待统一电子谁系统的平台,以实现数字证书的跨行通用。,3,学习目标,认识电子商务标准管理的意
2、义,掌握电子商务标准管理的内容。了解计算机信息系统管理的内容。掌握网络服务管理和网络用户管理的内容。了解网络广告管理了解数字认证,掌握CFCA认证体系结构。,4,基本概念,电子商务标准计算机信息系统安全接入服务域名管理,5,3.1电子商务标准管理3.1.1电子商务标准的作用,电子商务标准:是电子商务活动中各种标准、协议、技术范本、政府文件、法律文书等的集合。电子商务标准的作用或意义表现:标准是电子商务整体框架的重要组成部分建立健全电子商务标准体系是当前电子商务发展对标准化工作的需求,也是进一步推动我国电子商务发展的具体措施。电子商务相关标准为实现电子商务提供了统一平台支持和增强了电子商务的自我
3、调节能力;对参与各方起到指导作用,是实现电子商务社会化发展的根本保证。电子商务标准是电子商务的基本安全屏障通过相关安全标准的制定,可以预先把那些对电子活动安全可能产生不利影响的潜在因素加以防范;有助于增加消费者在互联网上进行交易的信心和满意程度,建立消费者和销售商之间的依赖关系。电子商务标准关系到国家的经济安全和经济利益充分发挥电子商务标准的防范功能,可有效地保护我国电子商务发展的利益及安全。也可为我国的电子商务发展在与他国竞争与接触中,有效地保护我国的经济利益与经济安全。,6,3.1.2电子商务标准研究现状及发展趋势,1.国际上电子商务标准研究现状信息安全标准 美国国家标准技术研究院(199
4、7),制定了一系列有关密码技术的联邦信息处理标准FIPS美国国防部于1985年制定的美国TCSEC(桔皮书),为计算机安全产品的评测提供测试方式,为安全分为4个方面7个安全级别。1991年西欧四国(英、法、德、荷)提出了信息技术安全评价准则ITSEC,首次提出了信息安全的保密性、完整性、可用性概念,定义了E0-E6七个安全等级及10种安全功能。93年美国发表了“信息技术安全性评价联邦准则FC国际标准化组织ISO也公布了许多安全评价标准。电子商务安全标准 97年,ISO/IEC JTC1成立了“电子商务业务工作组”,确定了电子商务急需建立标准的三个领域:用户接口、基本功能、数据及客体。1998年
5、,ISO、IEC和UN/ECE三者签署了一个电子商务领域有关标准化的”理解备忘录“。其扩充了以前的合作框架,扩展了各部门间的电子商务,增加了国际用户团的参与,以确保他们的标准化要求得到满足。99年,在美国加州旧金山,公布了世界上第一个互联网商务标准,7,2.我国电子商务标准发展现状,近年来,我国信息技术标准工作取得了丰硕的成果。但电子商务相关标准的制定工作相对薄弱。目前除了一些EDI标准及部分相关网络标准是从国际相应标准等同或等效转换而来外,我国还没有出台直接与电子商务的相关标准,包括国家标准、行业标准和地方标准。从我国电子商务标准发展情况看,目前主要存在三方面的问题在标准体制方面尚未建立起基
6、于XML的电子商务标准体制,与国际主流体制和我国电子商务的发展需求不相适应在标准内容方面业务流程和在线支付标准几乎空白,部分标准内容交叉、重复;在标准的市场适应性方面约一半以上的标准处于几乎未被使用的状态,尤其是报文标准。,8,3.1.3电子商务标准的制定原则,电子商电子商务标准体系是将电子商务建设中涉及的所有标准,按其内在联系形成的有序集合和科学整体,包括现有、应有和预计发展的所有电子商务涉及的标准与规定。电子商务标准体系的编制必须遵循以下的原则:全面性系统性先进性。预见性。可扩充性,9,3.1.4电子商务标准的体系结构,考虑到与国际接轨的要求和我国电子商务发展的实际情况,我国电子商务标准体
7、系可以从五个方面加以设计,即基础标准计算机基础标准(术语、编码、数据元、字符集、存储媒体、数据库、接口标准、多媒体及中文信息处理等方面)、基础通信标准(电话交换网标准、分组交换数据标准X.25)、网络标准(网络平台标准、网络传输标准、网络接入标准)等安全标准加密、认证、符合性测试等交易标准电子合同、电子支付、智能卡等方面标准服务标准包括电子商务服务机构的资质标准、服务质量标准和物流标准EDI标准:已成为独立的标准结构主要分为基础、单证、报文、代码、通信、安全、管理应用等7个部分标准主要由UN/EDIFACT标准和开放式EDI基础标准两部分组成,是EDI的核心标准。整个电子商务标准体系结构如图3
8、-1所示。,10,图 31电子商务标准体系结构,11,3.2计算机信息系统管理,3.2.1计算机信息系统安全概述计算机信息系统,按照中华人民共和国计算机信息系统安全保护条例,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”。,12,3.2.1计算机信息系统安全概述,计算机系统的出现,是人类历史上相当重要的一次信息革命。它从1946年诞生至今,经历了科学计算、过程控制、数据加工、信息处理、人工智能等应用发展过程,功能逐步完善,现已进入大规模的网络系统普及应用阶段。,13,3.2.1计算机信息系统安全概述,
9、在实际应用中的计算机信息系统中,每天都面临着这样或那样的威胁。这些威胁有可能是来自外部自然环境的影响,如自然灾害、机器设备的故障等因素,也可能是由于操作使用者自身失误而产生的尽管这些都是偶然的事件,但其发生却是必然的。另外,还存在着少数人进行攻击的威胁、计算机犯罪的威胁,计算机病毒的威胁以及信息战的威胁等方面。,14,3.2.2计算机信息系统安全的内容,计算机信息系统实体安全。计算机及其相关的设备、设施统称为计算机信息系统的“实体”,实体安全包括:环境安全、设备安全和媒体安全计算机信息系统运行安全。系统风险管理、审计跟踪、备份与恢复、应急等内容。系统的运行安全是计算机信息系统安全的重要环节计算
10、机信息系统信息安全。是指防止信息财产被故意地或偶然地非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别等7个方面计算机信息系统人员安全。指计算机内部使用人员的安全意识、法律意识、安全技能等。,15,3.3网络服务和网络用户的管理,网络服务业是指以经营提供网络上相关应用服务的事业,如接入服务(Access Service)指网络服务业为消费者提供的连线上网服务,是网络服务最基本的和最主要的服务。域名(Domain Name)服务网络信息服务广告服务商业联机服务等。,16,3.3.
11、1网络服务管理规范,1.接入服务的管理规范根据国务院批准的信息产业部职能配置、内设机构和人员编制规定,由信息产业部负责对电信与信息服务市场进行监管,实行必要的经营许可制度,并审批和发放通信与信息服务的经营许可证。依据国务院1997年5月20日第218号令发布的中华人民共和国计算机信息网络国际联网管理暂行规定和原国务院信息化工作领导小组印发的中华人民共和国计算机信息网络国际联网管理暂行规定实施办法有关规定,决定自1998年11月1日起对从事计算机信息网络国际联网业务的经营单位实行经营许可证制度。,17,2.域名服务管理规范,1)对域名注册服务机构的管理申请域名注册服务机构资格的,应具备下列条件:
12、依法设立的企业法人或事业法人;有与从事域名注册活动相适应的资金和专业人员;有为用户提供长期服务的信誉和能力;有健全的网络与信息安全保障措施;有业务发展计划及相关技术方案;信息产业部规定的其他条件。,18,2.域名服务管理规范,1)对域名注册服务机构的管理注册服务机构在提供注册服务时应遵守以下规定:遵守国家主管部门和CNNIC的相关管理规定;注册服务机构不得代表任何实际或潜在的域名持有人;在域名申请人申请域名时,注册服务机构应当与申请人签订书面注册协议(包括电子形式);注册服务机构负责审核域名注册申请。,19,2.域名服务管理规范,2)域名注册规则域名注册管理机构应当根据本办法制定相应的域名注册
13、实施细则,报信息产业部备案后施行。域名注册不得含有以下内容:反对宪法所确定的基本原则的;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;侮辱或者诽谤他人,侵害他人合法权益的;含有法律、行政法规禁止的其他内容的。,20,3.网络信息服务管理规范,1)对经营类互联网信息服务的管理规范国务院新闻办公室、信息产业部2005年9月25日联合发布互联网新闻信息服务管理规定,对从事互联网信息服务机构的基本
14、条件以具体内容作了相关的规定。从事互联网新闻服务机构设立的基本条件:有健全的互联网新闻信息服务管理规章制度;有5名以上在新闻单位从事新闻工作3年以上的专职新闻编辑人员;有必要的场所、设备和资金,资金来源应当合法。,21,3.网络信息服务管理规范,1)对经营类互联网信息服务的管理规范互联网新闻信息服务单位登载、发送的新闻信息或者提供的时政类电子公告服务,不得含有下列内容:违反宪法确定的基本原则的;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的;散布谣言,扰乱社会秩序,破坏社会稳定的;散
15、布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪的;侮辱或者诽谤他人,侵害他人合法权益的;煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;以非法民间组织名义活动的;含有法律、行政法规禁止的其他内容的。,22,3.网络信息服务管理规范,1)对经营类互联网信息服务的管理规范违反本规定有下列行为之一的,由国务院新闻办公室或者省、自治区、直辖市人民政府新闻办公室依据各自职权责令改正,给予警告,可以并处3万元以下的罚款:未履行备案义务的;未履行报告义务的;未履行记录、记录备份保存或者提供义务的。,23,3.网络信息服务管理规范,2)对非经营类互联网信息服务的管理规范为了更好规范互联网信息服务,信息产业部于
16、2005年1月28日审议并通过了非经营性互联网信息服务备案管理办法,并于3月20日开始正式施行。,24,3.3.2网络用户法律规范,1.接入管理根据中华人民共和国计算机信息网络国际联网管理暂行规定实施办法第十二条的规定,用户使用的计算机或者计算机信息网络必须通过接入网络进行国际联网,不得以其他形式进行国际联网。根据该办法的第十三条,用户向接入单位申请国际互联时,应当提供有效身份证明或者其他证明文件,并填写用户登记表。,25,3.3.2网络用户法律规范,2.使用管理P/72根据中华人民共和国计算机信息网络国际联网管理暂行规定第十三条的规定 根据中华人民共和国计算机信息网络国际联网管理暂行规定实施
17、办法第十八条的规定 用户在有权获得接入单位提供的各项服务时;也有义务交纳费用 遵守Internet的国际惯例,26,3.4网络广告管理,2005年全球因特网上的广告支出已达到147亿美元。2005年中国网络广告市场规模为31.3亿元,超过杂志广告收入18亿元,接近广播广告收入34亿元,比2004年增长77.1%,预计到2010年,我国互联网广告额将达到157亿元。为什么需要对网络广告进行管理,网络广告的管理对象是什么?由于网络广告是一种新生事物,虽出现时间不长,但已显现出强大的生命力和广阔的市场前景,其涉及的受众面广,造成的影响面很大,稍有不慎,就会对社会治安、个人名誉、个人隐私、专利权等方面
18、造成不良后果。因此,加强对网络广告的内容及网络广告组织机构的管理非常重要。,27,3.4网络广告管理,3.4.1网络广告组织的管理在网上从事广告业务的主要是一些大型网络公司、依托网络公司的广告企业以及自建网站的中小广告公司,他们是网络广告组织管理的主要对象。1、网站广告经营主体资格的管制从事广告制作和发布属于一种特殊营业行为,因此,只有在工商局注册登记取得许可后方能从事广告发布活动。这是根据商事法和工商管理规则得出的一般性结论,但目前国家立法尚未对此做出明确规规定,28,3.4.1网络广告组织的管理,2、网上专用标识制度为了防范利用网站发布虚假信息和欺诈性广告,一些地区试行网上专用标识制度3、
19、特殊广告发布前的审查管制我国对一些种类的广告实行审查制度。根据广告法第34条,利用广播、电影、电视、报纸、期刊以及其他媒介发布药品、医疗器械、农药、兽药等商品的广告和法律、行政法规规定应当进行审查的其他广告,必须在发布前依照有关法律、行政法规由有关行政主管部门对广告内容进行审查;未经审查,不得发布特殊商品网络广告发布主体有两类:一类是特殊商品的生产者;一类是特殊商品的销售者,29,3.4.1网络广告组织的管理,4.网络广告的第三方评估与监测专业的评估应当包括两方面:首先是量的评估,比较计划和执行在量上的区别。其次是研究广告的衰竭过程,方法是将同步广告每天的点击率在坐标轴上连线。研究每个创意衰竭
20、的时间,为设定更换广告创意间隔提供依据。第三方评估监测的意义在于从第三方的角度来确保有关各项统计数字的准确和公正,从而为各广告主及代理商选择不同的网站媒体并评价其计费水准提供方便,也为其预计广告费用、判断广告影响力提供可靠的帮助。我国目前采用的第三方服务器进行网络广量化告评估的只有“新浪”等少数网站。,30,3.4.1网络广告组织的管理,5.强化行业自律网络广告业与其他的市场竞争一样需要行业自律,过度放纵只会使这一行业遭受损失。这里所说的自律包含两层含义一是网站和网络广告从业人员自身必须遵守广告法和相关法规,抵制不正当竞争和虚假和欺骗广告;二是他们应当在经营的范围内,规制所托管的主页,一旦发现
21、恶意广告行为时,尽善意管理人之法律责任。,31,3.4.2网络广告内容的管理,网络广告内容管理,是指对网络广告内容及网络广告活动的管理,它是广告管理的一项特殊内容。由于网络广告内容来源多,信息量大,影响范围广,甚至超越国界,因此对网络广告内容的管理十分重要。对网络广告内容管理的根本目的是为了保障消费者的利益,防止误导,查处欺骗,净化网络空间。而网络广告内容管理的基本要求是:促进公告内容的真实性、合法性和科学性。,32,3.4.2网络广告内容的管理,1.真实性所谓真实性,就是网络广告所推广、介绍的商品、服务或信息都是客观存在的,是真实的,而不是弄虚作假的。网络广告上如果挂羊头卖狗肉不仅影响面广,
22、而且是对客户精神上的欺骗和愚弄。为保护广大消费者的权益,必须在网络广告管理中强调真实性的重要性。2.合法性所谓合法性,就是要求网络广告在宣传商品、服务或信息的时候,不仅其内容和表现形式都是健康的,而且没有任何侵犯他人专利权、隐私权,在法律上看是合法的。不得以新闻报道形式发布广告3.科学性所谓科学性,就是要求网络广告涉及的内容、观点、方法具有科学依据。网络广告中凡是属于专业性较强的内容,都应当经过规定程序的科学的鉴定与审查,不得有人为臆造、违反科学的内容,33,3.5电子认证服务机构管理,3.5.1电子认证服务提供者电子认证服务提供者,是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构
23、(以下称为“电子认证服务机构”)。电子认证服务机构(Certificate Authority,CA)在电子商务中具有特殊的地位。它是为了从根本上保障电子商务交易活动顺利进行而设立的,主要是为电子签名相关各方提供真实性、可靠性验证的公众服务,解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全。,34,3.5.1电子认证服务提供者,根据信息产业部电子认证服务管理办法第五条的规定:电子认证服务机构应当具备下列条件(1)具有独立的企业法人资格;(2)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名;(3)注册资金不低于人民币三千万元;(4)具有固定
24、的经营场所和满足电子认证服务要求的物理环境;(5)具有符合国家有关安全标准的技术和设备;(6)具有国家密码管理机构同意使用密码的证明文件;(7)法律、行政法规规定的其他条件。,35,3.5.1电子认证服务提供者,电子认证服务机构主要提供下列服务制作、签发、管理电子签名认证证书;确认签发的电子签名认证证书的真实性;提供电子签名认证证书目录信息查询服务;提供电子签名认证证书状态信息查询服务。,36,3.5.2我国电子认证服务机构的建设发展,国内电子认证服务机构是随着我国电子商务的发展而发展起来的。目前国内角逐电子认证服务市场的几大势力,基本上可按地区类和行业类来划分地区类:是由各地方政府支持成立的
25、数字认证中心联合体,目前已成气候的有上海、北京、天津等协作成立的“中国协卡认证体系”以及广东、海南、湖北等省联手的“网证通”CA联盟;行业类:由特定行业机构纵向组织而成,典型代表是中国金融认证中心(CFCA)、中国电信认证中心(CTCA)、中国邮政认证中心等。其中CFCA和CTCA又是行业性CA中影响最大的两个。,37,3.5.2我国电子认证服务机构的建设发展,中国金融认证中心(CFCA)由中国人民银行牵头,中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行等十二家商业银行联合共建而成。CFCA具有三层式结构。第一层CA即根CA,设在中国人民银行总行。第二层CA可称为“品牌CA”或“
26、政策CA”。第三层CA可称为运营CA。运营CA由CA系统和证书注册审批机构(RA)两大部分组成。(参见图3-2)。,38,图 32 CFCA系统体系结构示意图,39,3.5.2我国电子认证服务机构的建设发展,中国电信认证中心CTCA按全国CA认证中心、省RA审核中心、业务受理点三级结构在全国推广。中国电信CA安全认证系统采用“可信第三方”模式,适用于大型网络环境和大量用户使用的CA系统,40,3.5.3我国电子认证机构发展存在的问题,认证机构建设呈现无序状态。互联互通水平低。认证机构绝大多数处于亏损状态。,41,3.5.4电子认证机构的管理,对电子认证机构的管理主要涉及该机构的成立、运作、终止
27、服务等。(1)电子认证服务实行许可管理。申请电子认证服务许可的,应当向信息产业部提交书面申请、专业技术人员和管理人员证明、资金和经营场所证明、国家有关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证、国家密码管理机构同意使用密码的证明文件。信息产业部对提交的申请材料进行形式审查,依法作出是否受理的决定。(2)信息产业部自接到申请之日起45日内作出许可或者不予许可的书面决定。不予许可的,说明理由并书面通知申请人;准予许可的,颁发电子认证服务许可证,并公布有关电子认证服务许可证编号、电子认证服务机构名称、发证机关和发证日期。电子认证服务许可证的有效期为五年。,42,3.5.4电子认证
28、机构的管理,(3)电子认证服务机构应当按照信息产业部公布的电子认证业务规则规范的要求,制定本机构的电子认证业务规则,并在提供电子认证服务前予以公布,向信息产业部备案。(4)电子认证业务规则发生变更的,电子认证服务机构应当予以公布,并自公布之日起30日内向信息产业部备案(5)电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务(6)电子认证服务机构应建立完善的安全管理和内部审计制度,并接受信息产业部的监督管理(7)电子认证服务机构应遵守国家的保密规定,建立完善的保密制度(8)电子认证服务机构在电子认证服务许可证的有效期内拟终止电子认证服务的,应在终止服务60日前向信息产业部报告,同时向
29、信息产业部申请办理证书注销手续。(9)电子认证服务机构被依法吊销电子认证服务许可的,其业务承接事项的处理按照信息产业部的规定进行。,43,导入案例解析,小李申请数字证书时遇到的不便,反映了我国电子认证服务中的问题。分析小李的案例,我们可以得出以下结论:(1)小李使用数字证书来保证网络支付的安全符合电子商务安全的要求,也体现了安全用网的趋势。从目前网络支付份额不断增长,网络安全环境不断恶化的情况来看,国内已经具备了发展数字证书的条件,特别是对易于接受新事物的人群来说尤其如此。,44,(2)在申请了全国通用的数字证书以后,小李却还要申请若干个由不同网银颁布的数字证书,表面原因是各网银的认证标准不同
30、,而深层次原因则是从事电子认证服务机构还没有统一的规范,各个认证机构没有实现互联互通。这种状况阻碍了数字证书的广泛应用。,45,(3)虽然我国电子签名法已经颁布两年,但电子签名和数字证书在企业和个人中推广与普及还仅仅是开始。这里不仅仅是一个技术问题,还有一个标准问题。电子商务标准的统一,特别是认证标准不统一,不能形成交叉认证,严重阻碍了电子认证的推广。所以,加强电子认证机构的管理和整合对于整个电子商务的发展具有关键性的作用。,46,本章小结,(1)电子商务标准是电子商务活动中各种标准、协议、技术范本、政府文件、法律文书等的集合。主要包括基础标准、安全标准、交易标准、服务标准、EDI标准、其他标
31、准。(2)计算机信息系统安全包括实体安全、信息安全、运行安全和人员安全四个方面的内容。(3)网络服务管理规范包括接入服务的管理规范、域名服务管理规范、网络信息服务管理规范、网络用户法律规范涉及接入管理和使用管理中的法律问题。(4)网络广告管理重要考虑组织管理和内容管理。(5)电子认证服务机构管理在电子商务活动中具有重要的地位和作用,涉及此类机构的成立、运作、终止服务等。,47,思考题,电子商务标准含义是什么?简述我国电子商务标准的发展状况。P/65制定电子商务标准的重要意义体现在哪几个方面?P/62计算机信息系统安全的含意是什么?P/68对网络服务的管理体现在哪些方面?P/65为什么需要对网络广告进行管理,网络广告的管理对象是什么?P/73或讲稿第26张简述国内数字认证机构的发展现状及存在的主要问题。P/79三点,
